Hello World !
|
02-12-2014, 00h06
Message : #1
|
|
Ambrosios
C'est moi :D Messages : 8 Sujets : 1 Points: -6 Inscription : Oct 2014 |
Hello World !
Salut amis de n-pn !
Il y a de ça quelques mois j'ai suivi des mini-cours programmation en php après avoir acquis quelques bases en HTML5. Alors je me suis décidé à développé mon propre site web pour voir où j'en étais et ce dont j'étais capable. Le problème, c'est que je n'ai quasi pas eu de sensibilisation sur la sécurité. Dire que ça me préoccupe tant que ça pour ce site serait faux mais j'aimerai le perfectionner sous toutes ses coutures bien qu'il ne soit pas fini. Voici mon site http://ambrosios.esy.es J'utilise un sous domaine pour ne pas payer de nom de domaine pour le moment. Je suis hébergé chez Hostinger. J'en suis bien le propriétaire http://ambrosios.esy.es/n-pn.html Merci à tous ! ¡ Peace ! |
|
02-12-2014, 11h53
(Modification du message : 02-12-2014, 11h53 par crown.)
Message : #2
|
|
crown
Membre actif Messages : 52 Sujets : 5 Points: 18 Inscription : Oct 2011 |
RE: Hello World !
Veilles à bien sécuriser les variables que tu affiches dans ta page vous, si on modifie son user-agent on peut injecter du code (de même pour le referer), rien de bien méchant cependant c'est toujours bien d'être au courant
En ce qui concerne le changement de couleur via les cookies que tu crées par la méthode POST, t'as un petit FPD, penses à désactiver tes erreurs, elles sont utiles quand tu codes en local, moins quand ton site est en ligne (t'as le même soucis avec tes paramètres POST de connexion que tu envoies à ta fonction trim). Ces fichiers/dossiers laissent paraître des erreurs :
Tes dossiers sont accessible en lecture (on peut voir le listing des fichiers) je sais pas si c'est volontaire, si ça l'est pas penses à modifier les perms. |
|
02-12-2014, 15h30
Message : #3
|
|
ark
Psyckomodo! Messages : 1,033 Sujets : 48 Points: 317 Inscription : Sep 2011 |
RE: Hello World !
Yo, j'ai pas trop le temps de regarder plus dans l'immediat, mais j'ai note au moins un truc.
Pour l'inscription, demande une confirmation sur l'addr mail et/ou ajoute un captcha, sinan tu vas te retrouver avec des bots qui creent des comptes a tout va pour raison X ou Y, c'est mieux de pas avoir a se trimbaler ca. Et par rapport a ca, tu pourrais ban les adresses mail jetable (yopmail, 10minutemail, mailinator, etc...) |
|
02-12-2014, 17h13
Message : #4
|
|
Dobry
Tueur de lamouz Messages : 206 Sujets : 25 Points: 73 Inscription : Aug 2011 |
RE: Hello World !
(02-12-2014, 15h30)ark a écrit : c'est mieux de pas avoir a se trimbaler ca. Et par rapport a ca, tu pourrais ban les adresses mail jetable (yopmail, 10minutemail, mailinator, etc...)Ca peut même être pire, j'ai jamais essayé, mais j'ai eu des échos comme quoi MySQL a tendance à lacher assez vite au niveau de la charge, et avec un formulaire comme ca tu dois pouvoir te faire saturer ton mysql (à vérifier).
Aestuārium Erudītiōnis
There are only two hard things in Computer Science: cache invalidation, naming things, and off-by-one errors.
|
|
02-12-2014, 18h55
(Modification du message : 02-12-2014, 20h08 par Ambrosios.)
Message : #5
|
|
Ambrosios
C'est moi :D Messages : 8 Sujets : 1 Points: -6 Inscription : Oct 2014 |
RE: Hello World !
Merci à tous pour le temps que vous m'accordez
@crown, tu peux m'expliquer comment les sécuriser ? Peut être en MP si tu as le temps bien sûr Merci aussi à toi ark, je vais y songer. Merci Et j'espère que ce que tu dis est faux Dobry ^^' |
|
02-12-2014, 19h07
Message : #6
|
|
gruik
gouteur de savon Messages : 757 Sujets : 44 Points: 482 Inscription : Oct 2012 |
RE: Hello World !
(02-12-2014, 17h13)Dobry a écrit : j'ai eu des échos comme quoi MySQL a tendance à lacher assez vite au niveau de la charge faut surement relativiser, déjà ça dépend de ton serveur, puis aussi de comment tu configures ton mysql, perso j'ai eu des db de +50G ca tenait encore bien la charge, pas que ce soit impossible mais disons qu'on en reparle le jour ta base fait rien que 10G ^^
Avant donc que d'écrire, apprenez à penser.
Selon que notre idée est plus ou moins obscure, l'expression la suit, ou moins nette, ou plus pure. Ce que l'on conçoit bien s'énonce clairement, et les mots pour le dire arrivent aisément. (Nicolas Boileau, L'Art poétique) |
|
02-12-2014, 19h11
Message : #7
|
|
supersnail
Éleveur d'ornithorynques Messages : 1,609 Sujets : 71 Points: 465 Inscription : Jan 2012 |
RE: Hello World !
En même temps sur un hébergeur gratuit surchargé (000webhost je parie, c'est vraiment du caca ce truc en plus :>), pas étonnant que les mysql tiennent pas la charge, vu le nombres de requêtes qu'il se prennent dans la tronche chaque jour :p
Mon blog
Code : push esp ; dec eax ; inc ebp ; and [edi+0x41],al ; dec ebp ; inc ebp "VIM est merveilleux" © supersnail |
|
02-12-2014, 19h48
Message : #8
|
|
Ambrosios
C'est moi :D Messages : 8 Sujets : 1 Points: -6 Inscription : Oct 2014 |
RE: Hello World !
(02-12-2014, 19h11)supersnail a écrit : En même temps sur un hébergeur gratuit surchargé (000webhost je parie, c'est vraiment du caca ce truc en plus :>), pas étonnant que les mysql tiennent pas la charge, vu le nombres de requêtes qu'il se prennent dans la tronche chaque jour :p C'est pas celui là mais c'est le même genre Après je programme pour le fun et j'évite de dépenser pour un site que je ne suis pas sûr de pouvoir assurer (étudiant) ^^' |
|
03-12-2014, 10h48
(Modification du message : 03-12-2014, 10h50 par crown.)
Message : #9
|
|
crown
Membre actif Messages : 52 Sujets : 5 Points: 18 Inscription : Oct 2011 |
RE: Hello World !
(02-12-2014, 18h55)Ambrosios a écrit : Merci à tous pour le temps que vous m'accordez Pour ce qui est des variables que tu affiches et qui sont un vecteur d'injection de code je te laisse chercher du coté des XSS. Pour ce qui est des perms sur les fichiers penches toi sur le htaccess et pour ce qui est des FPD, désactive l'affichage des erreurs, la fonction ini_set peut être une solution si t'as pas accès à ton fichier de config php (php.ini), rien ne t’empêche non plus de traiter le type de variable envoyée en paramètre. Et pour tes erreurs dans les fichiers que j'ai listé accesoirement les corriger :p |
|
03-12-2014, 11h18
Message : #10
|
|
Junky
Snorky Master Messages : 228 Sujets : 35 Points: 203 Inscription : Mar 2013 |
RE: Hello World !
(02-12-2014, 19h07)gruik a écrit :(02-12-2014, 17h13)Dobry a écrit : j'ai eu des échos comme quoi MySQL a tendance à lacher assez vite au niveau de la charge Oh GOD!!! Un mysql de 50G!!!! Code : time /etc/init.d/mysql start Pour la sécurité, sous linux, le principal soucis est l'interface chaise/clavier
|
|
03-12-2014, 16h48
Message : #11
|
|
Ambrosios
C'est moi :D Messages : 8 Sujets : 1 Points: -6 Inscription : Oct 2014 |
RE: Hello World !
@crown merci beaucoup
|
|
03-12-2014, 16h54
Message : #12
|
|
gruik
gouteur de savon Messages : 757 Sujets : 44 Points: 482 Inscription : Oct 2012 |
RE: Hello World !
(03-12-2014, 11h18)Junky a écrit : Oh GOD!!! Un mysql de 50G!!!! spèce de troll va d'ailleurs je suis prêt à parier que si on fait un petit sondage on s'apercevra que : 1 - y'a beaucoups plus de mysql de 50G qu'on le croit 2 - ceux qui utilisent autre chose ont des besoins très spécifiques (genre big data typiquement, et justement des volumétries de données de plusieurs Go) 3 - ceux qu'on entend le plus troller mysql sont ceux qui ne sont pas encore assez vieux pour avoir un job (et donc ne connaissent rien aux réalités de la vie) ou utilisent eux-même beaucoup de mysql ;p
Avant donc que d'écrire, apprenez à penser.
Selon que notre idée est plus ou moins obscure, l'expression la suit, ou moins nette, ou plus pure. Ce que l'on conçoit bien s'énonce clairement, et les mots pour le dire arrivent aisément. (Nicolas Boileau, L'Art poétique) |
|
14-12-2014, 23h10
Message : #13
|
|
Junky
Snorky Master Messages : 228 Sujets : 35 Points: 203 Inscription : Mar 2013 |
RE: Hello World !
En même tps tu m'as tendu la perche avec ton mysql de 50G.
Mais oui c'est plus du trolling qu'autre chose, même si preuves a l'appui, le postgresql supporte mieux les grosses DB que le mysql, mais on sort du sujet initial du topic . Enfin moi je ne use que du postgres et quelques mysql et je n'ai que des merdes sur les mysql... Junky, Pour la sécurité, sous linux, le principal soucis est l'interface chaise/clavier
|
|
« Sujet précédent | Sujet suivant »
|
Utilisateur(s) parcourant ce sujet : 1 visiteur(s)